Cyberattacchi alimentati dall'intelligenza artificiale: Come individuare, prevenire e difendersi dalle minacce intelligenti

Leggi ora
Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.
Casa/ Il blog / Come trattate gli allegati alle e-mail?
Email Security

Come si trattano gli allegati alle e-mail?

da Janos Rotzik, responsabile marketing tecnico
Condividi questo post

Scoperta una nuova campagna e-mail che utilizza i PDF

La sicurezza delle e-mail dovrebbe essere la priorità assoluta, poiché secondo IBM è ancora il primo vettore di attacco per le violazioni dei dati. Ciononostante, i sofisticati attacchi via e-mail continuano a mietere vittime sfruttando il fattore umano, che quest'anno è stato coinvolto nell'82% di tutte le violazioni. Purtroppo, nell'ultimo mese è stata identificata un'altra campagna di distribuzione di malware che utilizza gli allegati PDF, con gli hacker che hanno trovato un nuovo modo per introdurre il malware nei dispositivi delle vittime.

Riassumiamo come è stato eseguito l'attacco

La nuova campagna di criminalità informatica - scoperta da HP Wolf Security - ha sfruttato il comportamento incerto degli utenti per distribuire Snake Keylogger sugli endpoint vulnerabili tramite file PDF.

Gli attori della minaccia hanno dapprima inviato un'e-mail con l'oggetto "Fattura di rimessa", per ingannare le vittime e far loro credere di essere state pagate per qualcosa. Quando il PDF è stato aperto, Adobe Reader ha chiesto all'utente di aprire un documento incorporato - un file DOCX - che potrebbe essere sospetto ma piuttosto confuso per la vittima, poiché il documento incorporato è denominato "è stato verificato". Questo fa pensare alla vittima che il lettore PDF abbia scansionato il file e che sia pronto per l'uso.

Un esempio di file Excel dannoso

Il file Word conterrà probabilmente una macro che, se attivata, scaricherà il file di testo ricco (RTF) dalla posizione remota e lo eseguirà. Il file tenterà quindi di scaricare il malware Snake Keylogger.

Affinché l'attacco abbia successo, gli endpoint presi di mira devono essere ancora vulnerabili a una determinata falla. Tuttavia, questa volta gli aggressori non hanno inviato il codice dannoso, ma hanno indotto la vittima a scaricarlo, aggirando le difese gateway basate sul rilevamento.

La comunità della sicurezza informatica ritiene che molte delle violazioni della sicurezza fossero evitabili. Ad esempio, la falla attuale è stata identificata nel 2017 e la recente serie di attacchi avrebbe potuto essere evitata se tutti gli amministratori dei dispositivi avessero mantenuto aggiornati i loro sistemi operativi.

Secondo il DBIR di Verizon, le vie di accesso alle informazioni aziendali sono quattro: credenziali, phishing, sfruttamento delle vulnerabilità e botnet. Il mancato blocco di uno solo di questi elementi può portare a intrusioni di rete. In questo caso, gli aggressori hanno utilizzato due elementi per attaccare: una truffa di phishing via e-mail ben coreografata per ingannare gli utenti ignari e una vulnerabilità sfruttata per installare file dannosi.

Misure di protezione comunemente utilizzate

Poiché la nuova campagna di criminalità informatica ha utilizzato la posta elettronica per distribuire lo Snake Keylogger agli endpoint vulnerabili tramite file PDF, le best practice di sicurezza non avrebbero funzionato correttamente per i seguenti motivi:

  • Gli exploit per le vulnerabilità emergono in pochi giorni, ma le organizzazioni impiegano settimane o mesi per applicare le patch.
  • Le soluzioni tradizionali per la sicurezza delle e-mail faticano a prevenire gli attacchi zero-day, poiché non esistono firme antivirus in grado di rilevarli.
  • Sandbox Le soluzioni di sicurezza sono emerse come un approccio per il rilevamento avanzato delle minacce, ma non sono adatte alla posta elettronica in quanto aggiungono ulteriore tempo di elaborazione prima della consegna.
  • Oltre all'impatto negativo sulla produttività, alcune minacce alla sicurezza delle e-mail possono eludere il rilevamento delle sandbox. In questo caso, sono stati applicati questi due metodi:


    • Esecuzione ritardata dell'azione

      • Se gli hacker vogliono assicurarsi che il loro malware non venga eseguito in un ambiente sandbox, un altro approccio comune è quello di attendere l'interazione dell'utente finale. Si può trattare di un clic del mouse, di una digitazione sulla tastiera o dell'apertura di un'applicazione specifica: le opzioni sono praticamente illimitate. L'aspetto importante per l'attaccante è che le soluzioni sandbox non possono tenere conto di queste azioni. Senza queste azioni dell'utente, le soluzioni sandbox non possono rilevare gli attacchi.

    • Trojan e macro

      • I file Trojan sono vecchi quasi quanto l'antica Grecia, quindi le soluzioni antivirus e di sandboxing sono in grado di rilevare diversi tipi di file Trojan. Le soluzioni basate sul rilevamento tendono a fallire quando il malware è nascosto in documenti Microsoft Office abilitati alle macro. L'unico aspetto negativo degli attacchi basati su macro per gli aggressori è che richiedono l'abilitazione da parte dell'utente finale, quindi sono spesso accompagnati da un attacco di social-engineering.

La filosofia della fiducia zero

Le organizzazioni devono partire dal presupposto che tutte le e-mail e gli allegati siano dannosi. I comuni file di produttività, come i documenti Word o i PDF, possono essere infettati da malware e attacchi zero-day, ma non è realistico bloccare l'accesso alle e-mail o ai documenti Word. Le soluzioni antivirus e sandbox sono limitate dalla loro capacità di rilevare gli attacchi avanzati. Come abbiamo visto con l'attacco di cui sopra, utilizzare solo una protezione basata sul rilevamento è fondamentalmente un approccio sbagliato. Le organizzazioni dovrebbero invece adottare un approccio di sicurezza a fiducia zero con una soluzione proattiva che tratta tutti i file come dannosi e li ripulisce in tempo reale. Tali allegati sanificati possono essere consegnati immediatamente all'utente, senza ostacolare la produttività aziendale, mentre in background lasciano il tempo per un'ulteriore analisi basata sul rilevamento (o dinamica) che, se ha successo, può anche inviare il file originale all'utente.

MetaDefenderdelle impostazioni PDF

MetaDefender Email Security è una soluzione di questo tipo. Fornisce un approccio completo per disattivare gli allegati, i corpi delle e-mail e le intestazioni, rimuovendo tutti i contenuti potenzialmente dannosi e ricostruendoli come file puliti. In questo modo, questi file sono completamente utilizzabili e sicuri, fornendo una protezione adeguata agli utenti insicuri contro gli attacchi descritti in precedenza.

OPSWAT protegge le organizzazioni da exploit e contenuti armati senza necessità di rilevamento. Ed è anche 30 volte più veloce del rilevamento sandbox!

Se volete saperne di più su come colmare le lacune nella sicurezza delle e-mail per proteggere la vostra organizzazione dalle minacce avanzate, scaricate il nostro whitepaper gratuito, "Best Practices for Email Security and Critical Infrastructure Protection", o leggete altri blog sull'argomento qui.

Contattate OPSWAT e chiedeteci come possiamo aiutarvi a migliorare la sicurezza delle vostre e-mail.

Ultimi messaggi

Iscriviti alla newsletter di OPSWAT

Ricevete gli ultimi aggiornamenti sull'azienda OPSWAT , le informazioni sugli eventi e le notizie che fanno progredire il settore. le notizie che fanno progredire il settore.
Iscrivimi

Seguiteci sui social Media

Seguite OPSWAT su LinkedIn, Facebook, Twitter e YouTube per saperne di più!

Rimanete aggiornati con OPSWAT!

Iscriviti oggi stesso per ricevere gli ultimi aggiornamenti sull'azienda, storie, informazioni sugli eventi e altro ancora.
Abbonarsi